개체 표시 유형 제어

Active Directory Domain Services 특정 권한이 거부된 사용자로부터 개체를 숨기는 기능을 제공합니다. 개체가 숨겨져 있으면 사용자의 자격 증명으로 실행 중인 애플리케이션이 개체를 열거하거나 바인딩할 수 없습니다.

사용자에게 컨테이너에 대한 ADS_RIGHT_ACTRL_DS_LIST 액세스 제어 권한이 부여되면 사용자는 컨테이너의 자식 개체를 볼 수 있습니다. 마찬가지로 사용자가 컨테이너에서 바로 ADS_RIGHT_ACTRL_DS_LIST 액세스 제어가 거부되면 사용자는 컨테이너의 자식 개체를 볼 수 없습니다. 이렇게 하면 전체 컨테이너의 내용을 숨길 수 있습니다.

DSHeuristics 속성의 세 번째 문자를 "1"로 설정하여 Active Directory 서버를 특수 목록 개체 모드로 전환할 수도 있습니다. dSHeuristics 속성의 세 번째 문자를 "0"으로 설정하여 목록 개체 모드를 사용하지 않도록 설정할 수 있습니다. Active Directory 서버가 목록 개체 모드에 있으면 사용자에게 부모 개체에 대한 ADS_RIGHT_ACTRL_DS_LIST 권한이 부여된 경우에도 개체가 계속 표시됩니다. 그러나 부모에서 ADS_RIGHT_ACTRL_DS_LIST 권한이 거부된 경우 부모 개체와 자식 개체 모두에 ADS_RIGHT_DS_LIST_OBJECT 권한이 부여된 경우에도 특정 자식 개체를 계속 표시할 수 있습니다. 목록 개체 모드를 사용하면 시스템 관리자가 사용자 또는 그룹에 대한 개별 개체에 대한 액세스 권한을 부여하거나 거부할 수 있습니다. 개체가 사용자에게 표시되는지 확인하기 위해 디렉터리 서비스에서 호출할 수 검사 훨씬 더 많은 수의 액세스가 필요하기 때문에 목록 개체 모드를 드물게 사용해야 합니다. 따라서 Active Directory Domain Services 개체를 검색하거나 읽는 성능에 부정적인 영향을 미칠 수 있습니다.